okx-cex-skill-mp 安全扫描报告 — 可信 | ClawSafe

5 /100

okx-cex-skill-mp

OKX Skills Marketplace - 浏览、安装、管理AI交易技能的市场平台

纯文档型技能，无内嵌脚本，仅作为OKX技能市场的使用指南，实际操作由外部npm包执行

技能名称okx-cex-skill-mp

分析耗时30.8s

引擎pi

✓

可以安装

可使用，但需注意运行时依赖的@okx_ai/okx-trade-cli包未被纳入静态扫描范围

安全发现 3 项

严重性	安全发现	位置
低危	外部依赖包未纳入静态扫描此skill依赖@okx_ai/okx-trade-cli npm包实现所有功能，该包的代码未在当前skill目录中，无法进行静态安全审计 `npm install -g @okx_ai/okx-trade-cli` → 建议单独对@okx_ai/okx-trade-cli包进行源码审计	`SKILL.md:15`
低危	凭证存储方式未明确说明文档提到需要API凭证但未说明凭证存储位置和方式 `okx config init` → 明确说明凭证是否存储在本地文件或环境变量中	`SKILL.md:29`
提示	安装目标agent列表不透明 skill add会自动检测并安装到本地agent，但用户无法控制安装目标 `installs it to all detected agents` → 建议提供--target选项让用户选择安装目标	`SKILL.md:19`

资源类型	声明权限	推断权限	状态	证据
文件系统	`WRITE`	`WRITE`	✓ 一致	SKILL.md:89 - 安装技能需写入agent skill目录
网络访问	`READ`	`READ`	✓ 一致	SKILL.md:85 - 从OKX marketplace API下载skill
命令执行	`WRITE`	`WRITE`	✓ 一致	SKILL.md:15 - 调用npm install和okx CLI命令
环境变量	`NONE`	`NONE`	—	SKILL.md无相关操作
技能调用	`WRITE`	`WRITE`	✓ 一致	SKILL.md:18-21 - skill add/install流程

1 项发现

🔗

中危外部 URL 外部 URL

https://www.okx.com

SKILL.md:8

1 文件 · 6.7 KB · 219 行

Markdown 1f · 219L

└─ 📝 SKILL.md Markdown 219L · 6.7 KB

包名	版本	来源	已知漏洞	备注
`@okx_ai/okx-trade-cli`	`*`	npm	否	外部CLI工具，未在skill目录内，无法静态审计

✓ 纯文档型skill，无内嵌恶意代码

✓ 文档完整清晰，功能边界明确

✓ 无base64管道、裸IP请求、eval等高危模式

✓ 文档-行为一致，无阴影功能